Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-5413

Vulnerabilidad en "deserialization gadgets" en implementaciones de Kryo Codec en Spring Integration Framework (CVE-2020-5413)

Tipo: 
Deserialización de datos no confiables
Gravedad: 
Alta
Fecha publicación : 
31/07/2020
Última modificación: 
04/08/2020
Descripción
Spring Integration Framework proporciona implementaciones de Kryo Codec como una alternativa para la (des)serialización de Java. Cuando Kryo es configurado con opciones predeterminadas, todas las clases no registradas son resueltas bajo demanda. Esto conlleva a la explotación de "deserialization gadgets" cuando los datos proporcionados contienen código malicioso para su ejecución durante la deserialización. A fin de protegerse contra este tipo de ataque, Kryo puede ser configurado para requerir un conjunto de clases confiables para la (des)serialización. Spring Integration debe ser proactiva contra el bloqueo desconocido de "deserialization gadgets" cuando se configura Kryo en el código
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:vmware:spring_integration:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos